Digitale Identitäten : Wie Identitätsklau auf hochsensible Daten eingebremst werden kann

Anfang des Jahres 2022 waren es zehn Milliarden, am Ende desselben Jahres schon wesentlich mehr und 2023 werden es vermutlich fünfzehn Milliarden sein. Die Rede ist nicht etwa von staatlichen Zuschüssen in schwindelerregender Höhe, sondern von Anmeldeversuchen der Internetkriminellen, um Kontodaten von Verbrauchern zu stehlen.

Okta hat genau diese Zahl innerhalb der ersten 90 Tage des Jahres 2022 auf seiner Plattform ermittelt. Das entspricht immerhin 34 Prozent des gesamten Datenverkehrs für Authentifizierungen weltweit. Die größte Bedrohung stellt in diesem Zusammenhang das sogenannte Credential Stuffing dar. Dabei machen sich die Angreifer die Gewohnheiten der Nutzer zum Vorteil, wenn diese ein einziges Kennwort für verschiedene Anmeldungen verwenden. Das geht meist mit dem Diebstahl von Benutzername und Passwort los. Haben sich die Angreifer diese Kombi erst einmal gesichert, greifen sie meist mittels automatisierter Tools auf weitere Konten des betreffenden Users zu. Nutzt der Kontoinhaber obendrein noch dasselbe Kennwort für mehrere Websites, entsteht ein Dominoeffekt: Die Kriminellen reiben sich die Hände, denn sie können über ein einziges Paar Anmeldedaten gleich mehrere Konten und Zugänge des Nutzers knacken.

Punktuelle Angriffswellen – auch auf die sichere Multi-Faktor-Authentifizierung

Aber auch wer sich beim Schutz der persönlichen Daten nicht mehr allein auf eine Passwort-Nutzer-Kombination verlassen möchte, sondern sichere Methoden nutzt, ist vor Angriffen nicht gefeit. Denn laut des Okta-Berichts wurden auf der eigenen Plattform Anfang dieses Jahres rund 113 Millionen Versuche registriert, die Multifaktor-Authentifizierung (MFA) zu umgehen. Auffällig war dabei, dass in einigen europäischen Ländern die Angriffslage sich stets im Vorfeld eines langen Wochenendes verdichtete. Auch im Fall von Credential Stuffing wurden länderübergreifend punktuelle Angriffswellen beobachtet. Schaut man sich die Häufigkeit an, mit der auf raffinierte Art und Weise Login-Daten gekapert werden, liegt der Wert für Credential Stuffing weltweit derzeit bei rund drei Prozent. Auf das Umgehen von Multi-Faktor-Authentifizierungen entfallen immerhin schon fünf Prozent.

Durchaus wählerisch sind die Angreifer mittlerweile auch, wenn es um bestimmte Branchen, Industrien oder auch Unternehmensbereiche geht. Dazu muss man wissen, dass die Angriffsmotivation heute nicht mehr nur der lukrative Weiterverkauf von Millionen von Nutzerdaten ist. Vielmehr geht es den Kriminellen darum, Unternehmen ihr digitales Geschäft kaputt zu machen. Und ihnen über das Abgreifen von Nutzerdaten in großem Stil massiven Schaden zuzufügen.

E-Commerce ist am stärksten von Credential Stuffing betroffen

Im weltweiten Vergleich stechen dabei vor allem vier Branchen deutlich heraus: Der Einzelhandel, die öffentliche Verwaltung sowie Energieversorger und Finanzdienstleistungen. Beim Online Shopping haben es Angreifer meist auf Treuepunkte oder limitierte Editionen abgesehen. Die gesamte E-Commerce-Branche wird nach Angaben von Okta zu 80 Prozent vergleichsweise häufig von betrügerischen Registrierungen wie dem Credential Stuffing heimgesucht. Immerhin rücken die Finanzdienstleister mit 50 Prozent bereits auf.

Allerdings sind diese utopisch hohen Zahlen je nach Branche unter anderem auf Bot-Netze zurückzuführen. Diese Art der Bedrohung macht laut Erhebung beispielsweise bei den Energieversorgern rund 65 Prozent aus. Insgesamt betrachtet, stecken Bot-Netze hinter etwa einem Drittel aller weltweiten Versuche, ein neues Konto zu registrieren.

Solchen Dauerangriffen langfristig zuvorkommen zu können und dem Kunden gleichzeitig eine sichere und komfortable Authentifizierung zu ermöglichen, scheint vielen Unternehmen auf den ersten Blick widersprüchlich. Denn dauert ein Anmeldevorgang aufgrund wichtiger Sicherheitsfunktionen zu lang, ist der Kunde längst beim Wettbewerber. Ist die Anmeldeprozedur hingegen zu lax, steht die digitale Identität auf dem Spiel, und der Kunde wird dem Dienst gegenüber misstrauisch.

Zugriffsmanagement verifizieren

Eine allgemeingültige Antwort darauf, den grassierenden Identitätsklau systematisch in die Schranken zu weisen, gibt es nicht. Dennoch gibt es ganz praktische Möglichkeiten für Unternehmen und ihre Mitarbeitenden, gängige Angriffsmechanismen weitgehend auszuhebeln. Um Zugang zu passwortgeschützten Konten zu erhalten, bedienen sich die Angreifer meist der Phishing-Methode. Das beginnt meist mit einer E-Mail, die so aussieht, als käme sie von einer vertrauenswürdigen Quelle, z. B. einer Bank, einer E-Commerce-Plattform oder der Regierung.

Darin wird versucht, Mitarbeitende vor einem „Sicherheitsproblem“ zu „warnen“ und darauf hinzuweisen, dass eine Kennwortrücksetzung erforderlich ist. Da der Empfänger den Inhalt der Nachricht für vertrauenswürdig hält, führt er die Anweisungen aus, folgt dem Link in der Nachricht und ändert sein Passwort.

Damit es gar nicht erst soweit kommt, sollten IT und Fachbereiche eng zusammenarbeiten, um die Echtheit solcher E-Mails schnell identifizieren zu können. Darüber hinaus ist es ratsam, je nach Aufgabenstellung, den Mitarbeitenden immer die niedrigste Stufe bei den Nutzungsrechten zuzugestehen, um potenziellen Schaden zu minimieren. Ebenso sinnvoll ist es, für die E-Mail-Konten generell eine mehrstufige Authentifizierung einzurichten. Das verhindert, dass Kriminelle gleich auf Konten zugreifen können, selbst wenn sie die Passwörter kennen.

Ganz gleich, ob es sich nun um Angriffe auf Mitarbeiterkonten oder Accounts von Verbrauchern, die auf einen Online-Dienst zugreifen möchten, handelt: Jeder sollte sich bei Erhalt einer E-Mail oder auch einer Textnachricht immer zuerst fragen, ob diese Nachricht für ihn Sinn macht. Damit wäre bereits der erste und wirksamste Schritt getan, dem Datenklau entgegenzuwirken.